Projeto de Lei Dieckmann, Marco Civil e Impactos na Segurança da Informação

Aspectos Legais da Tecnologia e Segurança da Informação

José Antonio MilagreSenior Expert Witness

segunda-feira, 26 de novembro de 2012

Programa

Introdução

Cenário atual da conformidade em segurança

Projetos de leis de crimes cibernéticos

Marco Civil da Internet Brasileira

Perspectivas finais


Cenário Atual

Em geral, definimos segurança com um estado no qual estamos livres de perigos e incertezas. Dentro de uma organização, esta segurança constuma se aplicar a tudo aquilo que possui valor, e consequentemente, demanda proteção. São os chamados ativos. (Security Officer, Modulo 1, Módulo Education Center, pág. 16)

proteçãoativos

intangíveislógicos


Cenário Atual

proteção

PreventivaDesencorajadora

LimitadoraDetectora

ReativaCorretiva

Recuperadora


Cenário Atual

De forma a obrigar as organizações a dar o devido cuidado para os problemas de SI, muitas leis e regulamentos tem surgido. Número excessivo de regulamentação, criando uma sobrecarga de trabalho desnecessária e custosa para as organizações.

Precedente: As leis são efetivas? Elas conseguirão melhorar a segurança das organizações? Elas podem evitar os crimes digitais? Precisamos de novas leis?


Projetos de Leis de cibercrimes

“Regras (leis) são como salsichas. É melhor não ver como elas são feitas” (Otto Von Bismarck)

Política de Segurança resumirá os princípios de SI que a organização reconhece como sendo importantes e que devem estar presentes no dia-a-dia de suas atividades. (Redução de Riscos ou por Conformidade)

Requisitos Legais

Requisitos do Negócio

Análise de Risco



Leis vão influenciar na “Classificação da Informação” - Identificação sobre quais os níveis de proteção que as informações demandam, bem como os controles de proteção necessários. (Ex. Anteprojeto de proteção de dados pessoais)



“Foi sugerido que não necessitamos de legislação sobre a Internet, pois até hoje não temos legislação e ela não teria feito falta” “...é bobagem, porque tinhamos liberdade no passado, mas as ameaças explícitas e reais a esta liberdade surgiram apenas recentemente” Tim Berners-Lee (junho 2006)





INVASÃO É CRIME NO BRASIL?


Cenário Atual

Código Penal

Art. 153 - Divulgar alguém, sem justa causa, conteúdo de documento particular ou de correspondência confidencial, de que é destinatário ou detentor, e cuja divulgação possa produzir dano a outrem: Pena - detenção, de um a seis meses, ou multa.

Art. 155 - Subtrair, para si ou para outrem, coisa alheia móvel:Pena - reclusão, de um a quatro anos, e multa.§ 4º - A pena é de reclusão de dois a oito anos, e multa, se o crime é cometido:I - com destruição ou rompimento de obstáculo à subtração da coisa;II - com abuso de confiança, ou mediante fraude, escalada ou destreza;



PRINCÍPIO DA LEGALIDADE


Cenário Atual

Leis aplicáveis atualmente:

* CLT* Código Civil* Código Penal (crimes mistos x puros)* Lei 9983/2000* Lei 9296/1996* Lei 9279/1998



PL 2126/2011 (Marco Civil da Internet) - Art. 7o.



PL 2126/2011 (Marco Civil da Internet) - Art. 9o. e p 1o. (Neutralidade da Rede - Mikrotik)



PL 2126/2011 (Marco Civil da Internet) - Art. 9o. e p 3o.(Proibição de Monitoramento de tráfego)



PL 2126/2011 (Marco Civil da Internet) - Art. 10. e p 1o.(Segurança na guarda de logs por provedores )



PL 2126/2011 (Marco Civil da Internet) - Art. 11(Prazo para a custódia dos logs)


Projetos de Leis de cibercrimesPL 2126/2011 (Marco Civil da Internet) - Art. 12 e13 (Provedores de serviços não tem obrigação de loggingProvedores de conexão não podem registrar navegação)



PL 2126/2011 (Marco Civil da Internet) - Art. 13(Ordem judicial e policial para guarda de logs - investigação?)



PL 2126/2011 (Marco Civil da Internet) - Art. 15.(Notice and Take Down)



PL 2126/2011 (Marco Civil da Internet) - Art. 17.(Direito de Requerer logs)



PL 84/1999 (Lei Azeredo)Era muito rígido



PL 2793/2011 (Lei Carolina Dieckmann)

Nasce para corrigir os erros do PL 84/1999?











Projetos de lei de cibercrimes

Devassar é invadir?



Devassar?

Devassar = Acessar indevidamenteDispositivo informático = Necessariamente alheioCondição do dispositivo = Protegido e sem autorização (Controle A.11.1.1 - Política de controle de acesso)Intenção = Causar dano? Mera conduta!



Instalar vulnerabilidade?

A ausência de um mecanismo de proteção ou falhas em um mecanismo de proteção existente. São as vulnerabilidades que permitem que as ameaças se concretizem... (Security Officer, Modulo 1, Módulo Education Center, pág. 24)

A existência de uma vulnerabilidade por si só não causa prejuízos. O que causa prejuízo é sua exploração por uma ameaça.



Vamos refletir...

* Sistema informatizado? Rede de computadores? * Gerenciamento de acesso/privilégios - A.11.2* Porta retrato digital? GPS? Roteador Wireless? * Como saber se uma autorização de acesso a um ativo comprometido? Cite exemplo de autorização tácita?* Um “Select” pode ser considerado “obter dados ou informações”? Obter é acessar? * Um “paper em um Congresso”, seria uma vantagem ilícita?* Parameter tampering, code injection, remote file include, sql injection. Posso considerer como rompimento de segurança? Não são programas que permitem invasão.* App de Facebook?



Crime?



Crime?



O que as leis não alcançarão (nem os legisladores):* Segurança por obscuridade; (Se a empresa dizia que o ativo não existia, como existe expressa proibição e acesso)* Fail-safe; (Se falta energia em uma catacra de um prédio, é preferível que ninguém entre. Mas e quem entrar?)*Ameaças passivas (Footprinting - Não interagem diretamente com o alvo)* Interceptação (Atacante redireciona o tráfego)* Modificação (Captura o tráfego e os reenvia)* Interrupção (Tráfego não atingirá o destino)* Fabricação (Mac Flooding - Atacante se passa por outro componente)(Enumeração, Acesso, Aumento de privilégios, Pilfering, Cobertura, NAT)



Só se pune a modalidade dolosa. Mesmo?

Refletindo sobre algumas condutas:* Obteve dados para alertar a comunidade?* Tentou notificar a empresa que não tinhacanal de reporte definido?* Publicou uma prova de conceito?


Perspectivas finais

!"#$"%&'($(!$)$#$'(*+,#-,(-$(.&/'(01%$#2$3%,45&(6#"),2"-,-$(-,-&'(01)$'7/,45&(-"/"%,.((

8,#2&(9")".(

9#":$'(-"/"%,"'(;2$''&(01-$)"-&(01%$##+345&(%$.$:<72,(

((

!"$2=:,1(

9#":$'(-"/"%,"'(9.&1,/$:(-$(2,#%>$'(

;?$#$-&(

@$'3&1',A"."-,-$(2")".(B#,%,:$1%&(-$(-,-&'(6,-#>$'(-$('$/+#,14,(9&:+1"2,#("12"-$1%$'(

((

!,-&'(3$''&,"'(

C'%#+%+#,(-$(2&.$%,D(

@$.,2"&1,:$1%&(2&:(,+%&#"-,-$'((

@$)"'5&(-$(2&1%#,%&'(-$(3$'E+"',($(3$1%$'%D(

!"'2.,":$#'(1,'(F$##,:$1%,'D(

@$)"'5&(-$(3&.G72,'D(

(0:3,2%&(1,'(:$.H&#$'(3#<72,'(

6#"),2I(JK2$(@$'3&1',A"."-,-$(

-&'('+A2&1%#,%,-&'(

L+'%,(2,+',(3,#,(&(MF+..(-"'2.&'+#$N(((

Fonte: Blog José Milagre

Conformidade - ISO 27001

A.13.2.3Forense

A.15.1.5Dissuadir

A.10.8.1Troca informações

A.15.1.4Privacidade


Perspectivas finais

Humanização: Pessoas não são ativos que podem ser configurados ou programados. Pessoas são ativos que tem sentimentos, emoções, vontades. São ativos que são educados(Security Officer, Modulo 1, Módulo Education Center, pág. 224)


Perspectivas finais

Prevenção: De modo a evitar que o profissional de segurança seja responsabilizado por um eventual ato ilícito, é importante que o mesmo tenha documentação que delimite claramente quais são suas funções, atribuições e responsabilidades na empresa.


Perspectivas finais

Ética: Conjunto de valores atribuidos à conduta humana sob o prisma do que é certo ou errado dentro de uma sociedade. A ciência da Moral, estando esta relacionada às regras de comportamento ou valores que são aceitos por determinado grupo específico, que determina o que é considerado honesto ou virtuoso.


Perspectivas finais

Leis foram Aprovadas. Só nos resta: Educacão: Diante de casos concretos, novas tecnologias (BYOD, Cloud, Big Data) e inafastabilidade do Judiciário será necessário profissionais de segurança articulados, peritos, que possam contribuir para informação real de autoridades, gerando consciência, maturidade e evitando que inocentes sejam injustamente condenados.


Reflexão

“Se ao caminhar pelas ruas, uma pessoa avistar que os cordões de seus sapatos estão desamarrados, ser-lhe-á devido um agradecimento ou uma censura por se intrometer em sua vida, em sua privacidade? Caso lhe comuniquem que um certo restaurante já provocou intoxicações sérias em diversos incautos que experimentaram suas especialidades, julgaria prudente ir lá e fazer uma refeição e se arriscar a uma desagradável e involuntária ginástica para seus intestinos. Pois bem, no ciberespaço, assim como no Mundo Físico, também existem boas almas que nos alertam sobre os perigos que enfrentamos neste recanto não espacial: são os hackers (e, em algumas vezes, até mesmo os crackers). São eles que nos sinalizam quanto a similares riscos neste Mundo que não podemos pegar, porque verificaram as debilidades e fragilidades do sistema que os suporta” (Amaro Moraes e Silva Neto, Privacidade na Internet, EDIPRO, 2001)


Obrigado!http://www.facebook.com/LegaltechBrasil

[email protected]: @periciadigital


http://www.facebook.com/LegaltechBrasil








Technology

Projeto de Lei Dieckmann, Marco Civil e Impactos na Segurança da Informação